• Bas Volkers

Vraagt u zich af hoe u uw gegevens veilig kunt krijgen? Let op deze 3 valkuilen.


Zoekt u naar grip op uw informatie-beveiliging? Let op deze 3 valkuilen

Het beveiligen van uw data, uw systemen en uw bedrijf is belangrijker dan ooit. Hacked.com: "In heel 2020 hebben hackers hun activiteit met meer dan 600% verhoogd ... Aanvallen op financiële dienstverleners behoren tot de duurste, met gemiddelde kosten van $ 18,3 miljoen per hack. 90% van de aanvallen begint met een zeer gerichte spear phishing e-mail die hackers toegang geeft tot de servers van een bedrijf. Hackers kregen bij financiële dienstverleners toegang tot gemiddeld 352.771 bestanden per hack." Indrukwekkende cijfers die in 2021 alleen maar toegenomen zijn en in 2022 nog verder zullen toenemen. Dit geldt zeker niet alleen voor de financiële sector als doelwit, vrijwel elk bedrijf is tegenwoordig een doelwit voor cybercriminelen. Hackers beschikken over geautomatiseerde en efficiënte technologie om te scannen op kwetsbaarheden over het hele internet. Ze gebruiken slimme software om geavanceerde phishing e-mails te verzenden, niet naar security specialisten maar juist naar collega’s die minder bewust zijn van de gevaren. Helaas staan de voorbeelden van wat er gebeurt als u uw gegevens niet goed beveiligt dagelijks in de krant. Bovenstaande toont aan dat het opzetten van een managementsysteem voor informatiebeveiliging nu belangrijker is dan ooit. Maar het lijkt vaak erg moeilijk om zo'n systeem goed en bruikbaar op te zetten. Drie redenen waarom: 1. Cybersecurity is moeilijk te begrijpen 2. De menselijke factor wordt onderschat. 3. Certificering en administratie worden een doel op zich. 1. Security is moeilijk te begrijpen Veel bedrijven haasten zich om beveiligingsmaatregelen te nemen. De meeste van die maatregelen zijn op zichzelf niet slecht, maar ze worden afzonderlijk geïmplementeerd en zijn vaak voornamelijk IT gericht. Om ervoor te zorgen dat de genomen operationele beveiligingsmaatregelen duurzaam zijn en de informatie- beveiliging correct is ingericht, continu wordt verbeterd en up-to-date wordt gehouden, moet er meer worden gedaan. Denk aan:

  • Leiderschap, zorg ervoor dat er management is die verantwoordelijkheid neemt en helpt bij het creëren van organisatiebreed bewustzijn door het juiste voorbeeld te geven;

  • Operationele en HR-processen die moeten worden bijgewerkt volgens nieuwe beveiligingsstandaarden;

  • Continue monitoring van kwetsbaarheden en bedreigingen om proactief te kunnen handelen en beveiligingsproblemen te voorkomen.

Dit vereist een systeem om continu alle belangrijke facetten te beheren, niet alleen de technologie. Het vereist een programma en strategie om het systeem op de juiste manier te implementeren. Valkuil: Ongeorganiseerde informatiebeveiliging zonder het implementeren van een Information Security Management System. Een van de meest voorkomende manieren om dit te bereiken is door ISO27001 te implementeren. ISO: "ISO/IEC 27001 is alom bekend en stelt eisen aan een informatiebeveiligingsbeheer systeem (ISMS). Door dit framework te gebruiken, kunnen organisaties van welke aard dan ook de beveiliging van hun assets beheersen. Denk hierbij aan financiële informatie, intellectueel eigendom, klantgegevens, werknemersgegevens of informatie die door derden is toevertrouwd aan de organisatie." Het is verstandig om een specialist in te huren die het framework al kent en u kan helpen deze op een praktische manier te implementeren. Of u zich nu wilt certificeren of niet, dat maakt niet uit, het framework biedt richtlijnen voor het bereiken van een solide beveiligingsniveau. Meer weten? Stuur ons een e-mail: info@dvginfosec.com 2. De menselijke factor Volgend op de eerste succesfactor: Informatiebeveiliging is niet alleen IT, het is niet het domein van technische wizards met veel schermen met code erop. Veiligheid gaat meer over mensen en hun gedrag dan veel organisaties zich nog realiseren. Hacked.com: "90% van de aanvallen begint met een zeer gerichte spear-phishing e-mail die hackers toegang geeft tot de servers van een bedrijf.” Phishing-e-mails bijvoorbeeld vereisen tenslotte altijd menselijk handelen om effect te hebben. Valkuil: Onvoldoende investeringsruimte voor het aantrekken van de juiste expertise en de kennis en bewustwording van de medewerkers binnen de organisatie. Een van de belangrijkste beveiligingsmaatregelen die u kunt nemen is investeren in uw werknemers en uw organisatie. Creëer een Data Talent Centre dat zich richt op het aantrekken van medewerkers met de juiste en specifieke kennis van data- en informatiebeveiliging. U kunt hiervoor specialisten inhuren, de data en security markt is een niche en voor veel organisaties is het lastig om de juiste experts aan te trekken. Een wervingsoplossing versnelt het verkrijgen van de expertise nodig in uw strijd tegen cybercriminaliteit. DVG Search: information and cyber security recruitment experts 3. Certificering en administratie wordt het doel. Hoewel wij zelf ISO-nerds en proces freaks zijn, houden van checklists en het minimaliseren van risico's, beperken we ook graag de administratieve last. Albert Einstein: "Bureaucratie is de dood voor ieder succes". Veelal mondt de implementatie van een ISMS uit in niet concrete beleidsdocumenten, lange en moeilijke checklists en een hoge administratie last. Dit zonder een duidelijke link naar de realiteit van het beveiligen van data, systemen en de organisatie. Valkuil: Het echte doel wordt uit het oog verloren, geïmplementeerde controls en procedures zijn te administratief met een focus op certificering en te weinig op de werkelijke beveiliging. Het echte doel is het beveiligen van de informatie, niet de certificering op zich. Als dat tijdens de implementatie van het managementsysteem uit het oog verloren wordt leidt dat vaak tot een administratieve bureaucratie. Naast tijdverspilling is dit ook een groot risico: het risico om veilig te lijken op papier wat in werkelijkheid een schijnveiligheid is. Cybercriminelen geven niet om procedures of certificeringen, ze zoeken gewoon naar uw kwetsbaarheden. En als ze er een vinden, buiten ze die uit. Beperk daarom de last van de administratie, houd het management efficiënt, creëer geen twee afzonderlijke werelden van administratie en realiteit. Meer weten? Kijk dan hier. We hadden het ook kunnen hebben over de details van phishing, DDOS, Ransomware, Trojan Horses, Root Kits, Spyware, Malware, Clickjacking, enz. Hoewel dit allemaal belangrijke termen zijn en manieren waarop u kunt worden aangevallen raden we u aan om u door deze termen niet af te laten leiden. Focus op de belangrijks basiszaken om uw gegevens te beveiligen:

  1. Zet een managementsysteem op om daarmee continu alle aspecten van cybersecurity te beheersen, niet alleen technologie.

  2. Investeer in kennis en bewustwording van uw medewerkers, dit is een van de meest waardevolle beveiligingsmaatregelen.

  3. Hou rekening met het echte doel, implementeer alleen de controls en administratie die werkelijk nodig is.

Zorg ervoor dat in uw bedrijf informatiebeveiliging ook goed wordt georganiseerd, zorg ervoor dat iedereen weet wat te doen, want het is niet de vraag of u wordt aangevallen ... dat bent u hoogstwaarschijnlijk al. De vraag is: bent u klaar om uzelf te verdedigen? Wilt u weten hoe u ervoor staat? Maak kans op een gratis Risk Assessment twv €2500 Klik hier